对 Azure 负载均衡器进行故障排除
本文提供了关于 Azure 负载均衡器(基本层和标准层)常见问题的故障排除信息。 有关标准负载均衡器的详细信息,请参阅标准负载均衡器概述。
当负载均衡器的连接不可用时,最常见的现象是:
- 负载均衡器后面的虚拟机 (VM) 不响应运行状况探测。
- 负载均衡器后面的 VM 不响应已配置端口上的流量。
当后端 VM 的外部客户端通过负载均衡器时,会使用客户端的 IP 地址进行通信。 确保客户端的 IP 地址已添加到网络安全组 (NSG) 允许列表。
标准内部负载均衡器 (ILB) 具有默认安全功能。 基本 ILB 允许通过名为默认出站访问 IP 的隐藏公共 IP 地址连接到 Internet。 对于生产工作负载,建议不要通过默认出站访问 IP 进行连接,因为该 IP 地址不是静态的,也未通过你拥有的网络安全组进行锁定。
如果你最近从基本 ILB 移动到标准 ILB,并且需要从 VM 向 Internet 的出站连接,则可在子网上配置 Azure NAT 网关。 对于生产场景中的所有出站访问,建议使用 NAT 网关。
标准负载均衡器和标准公共 IP 地址不接受入站连接,除非由网络安全组打开。 使用 NSG 显式批准允许的流量。 必须配置 NSG 以显式批准允许的流量。 如果 VM 资源的子网或网络适配卡 (NIC) 上没有 NSG,则流量将无法到达该资源。
若要允许入口流量,请将网络安全组添加到虚拟资源的子网或接口。
在负载均衡器配置有虚拟机规模集时,如果负载均衡规则的后端端口与运行状况探测相关联,则不能修改该端口。
若要更改该端口,可删除运行状况探测。 更新该虚拟机规模集,更新该端口,然后再次配置运行状况探测。
从负载均衡器的后端池中删除的 VM 不应再接收流量。 少量的网络流量可能与 Azure 中的存储、域名系统 (DNS) 和其他功能有关。
若要进行验证,可以执行网络跟踪。 每个存储帐户的属性列出了 Blob 存储帐户的完全限定的域名 (FQDN)。 在 Azure 订阅中的虚拟机上,可以执行 nslookup
以确定分配给该存储帐户的 Azure IP。
如果决定打开支持案例,请收集下列信息,以更快获得解决方案。 选择单个后端 VM 执行下列测试:
- 使用来自 VNet 的某个后端 VM 的
ps ping
进行探测端口响应测试(例如 ps ping 10.0.0.4:3389)并记录结果。 - 如果这些 ping 测试未收到响应,请在运行 PsPing 时,在后端 VM 和 VNet 测试 VM 上同时运行 Netsh 跟踪,并停止 Netsh 跟踪。
如果上述步骤无法解决问题,请开具支持票证。